问题标签 [process-monitor]

我在工作时使用同一台计算机玩游戏。

对于我的工作，我需要使用 Microsoft 的 ProcessMonitor。

问题是游戏受到 ThemIda 的“保护”，并且当 ProcessMonitor 已经运行时它不会启动，或者一旦我在启动游戏后启动 ProcessMonitor 就会“崩溃”。

有什么办法可以防止它被“检测到”吗？

I'm working on a script that should check on certain system events (like opening of a file, or changing of a registry key) and start further actions depending on that. But I haven't found a clean way to get the information into my script.

I'm looking for a way to get the output of Sysinternals Process Monitor into another program. This should happen without user interaction in close to real time; so saving into a CSV/XML and than using this doesn't work. I've checked on using the backing file, but this is in the Process Monitor PML format, which i haven't found to be documented anywhere.

Does anybody know a way how I can get the output of Process Monitor into my script? Or an other (not too messy) way to get a real time list of opened files, registry keys etc into a python program?

Thanks!

I'm not a regular curl user, but from time to time I use it to test something.
So I was writing in command line this:

It didn't gave me any error, looked like everything is ok, but output file didn't appeared.
So I've started process monitor and checked what is going on, from the screenshot below I think it is clear what was my problem, but now the question - why all three operations are marked as successful? I've searched for filename through whole disk, but there was no file, create file result was Overwritten, so it looks like it actually somewhere was saved.

我有一个在驻留在 Power User 组中的本地用户下的 Web 服务器上运行的应用程序。进程监视器报告以下访问被拒绝错误：

用户：网络服务，在 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters 上拒绝所有访问

用户：本地用户高级用户帐户，在 HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap 上的读/写访问被拒绝

当我从 Power Users 组中删除用户并将其添加到 Admin 组时，不会发生错误并且程序按预期运行。

我的研究表明，其他人通过简单地提供对注册表项的所需访问权限来解决此问题，但我认为这与 IE 8 安全设置有关，尽管我所看到的这一切都与 DEP 无关似乎已安装。

本地用户不能在生产中的管理员组中，因此我需要针对他当前的权限级别解决其问题。

谢谢。

每次我运行 Process Monitor 的新实例时，都会弹出一个对话框，指出“打开快照时发生错误”，此错误会阻止捕获任何事件。按捕获按钮或 Ctrl+E 也会重现错误消息

我有一个 ProcMon 日志文件 (PML)。我在 json 文件中有一组规则（不断修改）。我想在 python 中编写一个脚本，它读取 json 文件，创建一个 procmon 过滤器（pmf）文件，将这些过滤器应用于 procmon 并在 excel 文件中捕获结果输出。

我正在使用 procmon 命令行。

运行上述命令后，procmon UI 显示过滤的事件，但保存的文件 - output.csv 包含所有事件。

是否可以通过 cmd 保存过滤后的输出？如果没有，有没有办法将输出复制到cmd？

我有一个应用程序已编译，我需要列出他尝试/必须访问的所有目录。

当我执行这个应用程序时，他返回错误消息，我相信这是一个权限错误。

我已经看到了 Process Explorer，但他没有显示由 Process/Application 操作的所有文件。

谢谢，

我正在尝试在没有服务器的情况下安装 Sensu 客户端。

根据文档：

“Sensu Core 软件包安装了多个进程，包括sensu-server、sensu-api和sensu-client。”

但是添加存储库后，我只能找到 aggragatesensu包，无法找到或安装sensu-client.

我注意到github 上的一张票说这是​​不可能的但是那是 2 年前所以也许事情已经改变了？

是否可以不安装 Redis、RabbitMQ 和 Sensu 服务器就安装 Sensu 服务器？

我一直在尝试在启动过程中分析注册表活动。

所以想到使用 procmon 进行引导日志记录。我启用了启动日志记录，重新启动了系统。现在，当我启动 procmon 时，它要求我转储收集的引导日志。

当我尝试保存文件时，经过 7% 的进度后，它因著名的错误日志“ The instruction at "0xXXXXXXXX" referenced memory at "0xXXXXXXXX", The memory could not be "written". Click on OK to terminate that program”而崩溃。

此致，

索拉夫